A Study on the Curriculum of Department of Information Security in Domestic Universities and Graduate Schools and Comparison with the Needs of Industry Knowledge

국내 대학 및 대학원 정보보호 교육과정 분석 및 산업체 필요 지식과의 관련성 비교

Abstract

These days cyber attacks are increasing all over the world, and the national critical infrastructure and information network protection has become important. For this reason, the concentrated investment in information security and development of professional human resource are essential, but there is a shortage of information security workforce in Korea. Currently, departments of information security in domestic universities make efforts to develop human resource of information security and have a increasing interest in the curriculum design. So this paper investigates the curriculums of information security in domestic universities and graduate schools. And then, it compares with the needs of industry knowledge and skills by using SPSS. Through this analysis, we will get implications about curriculum design of Information security.

최근 국내외적으로 사이버 공격 이슈가 증가하고, 국가 주요 기반시설과 정보통신망 보호가 중요해지고 있다. 이에 따라 정보보호 분야 집중투자 및 전문 인력 양성은 필수적이지만, 우리나라의 경우 정보보호 인력은 매우 부족한 실정이다. 현재 정보보호 인력양성을 위해 노력하고 있는 각 대학 정보보호 관련 학과에서 교과과정 설계에 많은 고민을 하고 있다. 이에 본고에서는 현재 운영 중인 국내 대학 및 대학원의 정보보호 관련 학과들의 교육과정 설계가 어떻게 구성되어 있는지 조사해보았다. 또한, 산업체에서 생각하는 필요 지식 및 기술과의 순위비교를 통해 실제 현장과 얼마나 차이가 있는지 SPSS를 활용한 통계분석으로 알아보았다. 이러한 분석을 통해 교육과정 체계의 미흡한 부분을 보완 할 수 있는 방향을 살펴보고자 한다.

I. 서론

지난 2013년 3월 20일에 국내 주요 방송사와 금융사의 전산망을 마비시킨 사이버테러가 발생하였다. 같은해 6월 25일에는 청와대, 국무조정실 등의 홈페이지 변조와 정부 통합전산센터를 타깃으로 하는 DDoS 공격이 발생하였다. 국가 주요 기반시설과 핵심정보가 통신망을 통해 관리되면서 사이버공격은 국가의 최대 안보위협으로 떠오르기 시작했다. 뿐만아니라 정보침해 유형이 점차 다양화 • 고도화됨에 따라 해킹, 악성 코드, DDoS 등 사이버 범죄의 발생은 국가안보와 직결되고 있다. 이렇게 사이버 보안의 중요성이 커지고 있는 가운데 이 분야에 대한 집중적인 투자 뿐만 아니라 전문 인력 양성은 매우 절실한 상황이다.

이에 반해 한국인터넷진흥원(이하 KISA)에서 실시한 ‘2012 정보보호 인력수급 실태조사 및 분석전망’에 따르면 2013년 정보보호업계 부족인력은 1,767명이며, 2017년에는 무려 3,660명의 인력이 부족할 것으로 전망되고 있다[1]. 그 부족한 인력을 육성하기 위해 대학 및 대학원의 정보보호학과, 정보보호 관련 ITRC(Informtaion Technology Research Center)센터, 민간 정보보호 교육센터, KISA 등에서는 다양한 교육을 추진하고 있다.

그러나 이러한 교육기관의 교육과정이 서로 다르고 표준 교과과정이 없기 때문에, 이렇게 배우는 교과가 모두 실제 산업체에서 필요로 할지에 대해서도 분석해 볼 필요성이 대두되고 있다. ‘지식정보보안 분야 인력 현황 및 중장기 인력수급전망분석(2010)’에 따르면, 산업의 규모를 확대시키고 안정적인 인력 공급을 위해서는 기업이 자사의 수요를 보다 명확히 밝히고 적극적으로 인력을 공급받기를 희망해야 할 것이며, 정부는 이러한 수요에 기반을 둔 교육 가이드라인을 작성하고 교과과정을 구성해야 한다고 제시하였다[2].

따라서 본 연구는 현재 운영 중인 국내 정보보호 관련 학과들의 교육과정 설계가 어떻게 구성되어 있는가를 조사하여 학교의 교육과정이 실제 산업체의 정보보호 전문 인력이 필요로 하는 지식 및 기술과 얼마나 일치하는지 알아보고, 교육과정 설계에 있어 미흡한 점을 보완 할 수 있는 방향성도 제시하고자 한다.

II. 기존 연구 분석

정보보호의 교육과정과 관련한 기존연구는 1990년대 후반부터 본격적으로 시작되었다. 대학기관의 정보보호 교육과정 개발에 관한 김철(2001)의 연구를 시작으로 양정모(2003), 하재철(2003), 김태성 외(2004), 나현미(2005), 김정덕 외(2011)등이 대표적이다.

김철(2001)은 교육학 분야에서 다루어 왔던 교육과정 개발의 일반적인 방법론과 국내외 정보보호 교육과정의 특징을 파악하였으며, 학부와 대학원에서의 정보보호 교육 교과과정 모델을 제시하였다. 그리고 학부의 전공과정을 ①법, 경영, 행정 ②컴퓨터과학, 공학 ③전자공학 ④통신공학 ⑤수학, 물리로 대별하여 제시하였다[3].

양정모(2003)는 전국 4년제 주요 대학에 신 • 증설 된 정보보호 관련 학과와 교과과정 현황을 ①수학분야 ②전자 • 통신분야 ③컴퓨터공학분야 ④보안복합관련 분야 ⑤기타분야로 나누어 분석하였고, 이를 근거로 향후 정보보호 분야의 교과과정에 대한 모델을 제시하였다[4].

김태성 외(2004)는 한국교육개발원의 교육통계연보를 이용하여 학과명 키워드 검색을 통해 국내 정보보호 관련 학과의 현황을 파악하였고, 전문대학, 4년제 대학교, 대학원 석사과정, 대학원 박사과정으로 분류하여 조사 분석하였다. 그리고 관련 학과의 재학생 자료를 이용하여 정보보호 인력에 대한 공급을 전망하였다[5].

나현미(2005)는 우리나라의 경우, 각 대학별로 교수 주도하에 자체적으로 교육과정 개발 • 운영함으로써 정보보호 교육과정 교과목 편성 및 운영에 관한 개발모델이 없음을 지적했다. 또한, 대학별로 교육과정을 개발 • 운영하는 한국의 체계와 국가 차원에서 산업체와 협력하여 교육과정을 개발 • 운영하는 미국체계의 차이점을 도출했다[6].

이민경(2008)은 고등학교와 대학의 정보보호 교육을 분석하였으며, 정보고등학교에서 정보보호 관련 교육이 많이 이뤄지지 않고 있다고 밝혔으며, 정보보호 교육은 고등학교에서 시작하여 대학까지 이어지는 연계교육이 시급하다고 하였다[7].

김정덕 외(2011)는 대학의 정보보호 전문 인력 공급의 지역적 불균형이 존재하며, 정보보호 전문 인력에 대한 신규공급이 신규 수요를 따라가지 못하는 문제점이 있다고 하였다[8].

III. 정보보호 관련 학과의 교과과정 분석

현재 우리나라 대학의 정보보호 관련 학과는 전문대, 일반대, 사이버대 등에 설치되어 있거나, 컴퓨터 공학과에 일부 교과로 개설되어 있다. 또한 대학원에도 정보보호학과가 설치 • 운영되고 있다.

3.1 교과과정 분석 기준

‘2012 국가정보보호백서(NIS)’의 정규교육과정에 의한 인력양성 현황에 따르면 2011년 현재 4년제 대학교에 20개 정보보호 관련 학과들이 설치되어 있으며, 대학원 과정으로 23개 학과가 일반대학원 11개, 전문대학원 2개, 특수대학원 4개, 협동과정 6개의 형태로 정보보호 관련 전공이 운영되고 있다[12]. 본 논문에서는 ‘2012 국가정보보호백서’에 명시되어있는 학교를 기준으로 2013년에 새로 개설된 학교를 포함하여 조사하였다. 이 때 일반대학교와 대학원 중 교과과정이 일반인에게도 열람 가능한 학교를 중심으로 조사 하였다¹⁾.

3.2 대학의 교과과정 분석

대학은 건양대, 경기대, 경동대, 고려대, 광주대, 극동대, 대전대, 동명대, 목포대, 백석대, 서남대, 서울여대, 순천향대, 아주대, 영동대, 중부대, 호서대, 호원대 등(가나다 순) 총 18개 학교, 18개 학과, 697개의 교과목을 조사하였다.

3.2.1 교과별 분류

각 대학교의 교과과정에 나타나 있는 교과목들은 김민정 외(2013)의 분류를 참고하여 다음과 같이 12개로 분류되었다[16].

① 프로그래밍 및 컴퓨팅 보안

② 통신 •​​​​​​​ 네트워크 보안

③ 데이터베이스 보안

④ 공격(해킹, 악성코드 등)

⑤ 보안관제

⑥ 사이버전(戰)

⑦ 포렌식²⁾

⑧ 정보보호이론

⑨ 수학 및 암호

⑩ 보안 경영

⑪ 보안 법 •​​​​​​​​​​​​​​ 제도 및 정책

⑫ 기타³⁾

각 교과 분류를 다시 4개 군으로 묶어 그룹핑한 결과는 다음과 같다[16].

① 기술(공학)

② 기술 관련 이론

③ 경영 및 정책

④ 기타

전체 대학교 정보보호 관련 학과의 교과 중 ‘프로그래밍 및 컴퓨팅 보안’이 42.2%로 가장 많은 비율을 차지하고 있음을 알 수 있다[Table 1]. 또한 기술(공학)군이 전체 교과과정의 70.6%를 차지하고 있으며, 기술 관련 이론까지 더하면 전체 교과의 85.1%를 기술 교과목이 차지하고 있었다. 반면에 경영 및 정책군은 5.6%로 9.3%를 차지한 기타군 보다도 비율이 낮았고, 결과적으로 제일 낮은 비율을 차지하였다.

Table 1. Analysis of the Curriculum in Domestic Universities

3.2.2 대학 소재지별 분류

서울 • 수도권과 지방권으로 학교의 소재지에 따라 분석한 결과는 다음과 같다.

18개 대상 학교 중 서울 • 수도권 학교는 3개(경기대, 서울여대, 아주대)였으며, 지방권 학교는 15개였다.

서울 • 수도권과 지방권 모두 ‘프로그래밍 및 컴퓨팅 보안’ 교과가 각각 37.8%와 43%로 제일 많았다[Fig.1]. 기술(공학)군이 서울 •​​​​​ ​수도권에서 차지하는 비율은 62.2%이며, 지방권 소재 학교에서 차지하는 비율은 72.2%였다. 상대적으로 서울․수도권은 지방권에 비해 기술관련 이론교과가, 지방권은 서울․수도권에 비해 기술(공학) 교과가 더 많았다. 특이한 점은 사이버전 관련 교과목은 지방권에만 존재했다⁴⁾. 또한 수학 및 암호 관련 교과목은 서울 • ​​​​​​​수도권 소재 대학에 약 2배정도 많았다. 또한, 경영 및 정책 교과는 서울 •​​​​​​​ 수도권과 지방권이 각각 5.4%와 5.6%의 비슷한 비율을 차지하고 있었다[Fig.2].

Fig.1. Analysis of the Curriculum by the location of Universities

Fig.2. Pie graph of the Curriculum by the location of Universities

3.2.3 대학 정보보호 관련 학과의 소속 계열

[Table 2]는 각 학교의 정보보호 관련 학과가 소속되어 있는 계열을 조사한 결과이다. 분석 시 분명치 않은 경우⁵⁾, 수여 학위를 기준으로 구분해 정리하였다. 전체의 83.3%가 공학계열이었으며, 자연계열까지 더한 이공계열에 94.4%가 속해있었다. 단 1개의 학과만이 인문사회계열에 속해 있었다.

Table 2. Classification According to Position of the Department of Information Security in Universities

3.3 대학원의 교과과정 분석

대학원은 경북대, 고려대, 과학기술연합대학원대학, 단국대, 대전대, 동국대, 목포대, 부경대, 상명대, 성균관대, 순천향대, 숭실대, 연세대, 충북대, 한세대, 한양대, 호서대 등(가나다 순) 총 17개 학교, 21개 학과⁶⁾, 692개 교과목을 조사하였다.

3.3.1 교과별 분류

대학원 교과과정의 교과목에 대해서도 대학교의 교과과정과 동일한 방법으로 4개 군의 12개 분류로 구분하였고, [Table 3]에 그 결과를 정리하였다.

Table 3. Analysis of the Curriculum in Graduate Schools

대학원에서는 12개 분류 교과 중 ‘프로그래밍 및 컴퓨팅 보안’의 내용을 다루는 교과 과정이 28.2%로 제일 많았고, 기술(공학)군이 전체 교과과정의 51.2%를 차지하고 있었다. 또한 기술관련 이론까지 더한다면, 76.1%를 기술이 차지하고 있었다. 또한 경영 및 정책군은 17.8%를 차지하고 있어 기술 교과의 약 1/4수준임을 알 수 있었다.

3.3.2 대학원 소재지별 분류

대학원도 소재지별로 서울 •​​​​​​​ 수도권과 지방권으로 나누어 교과목을 분류하였다. 17개 대상 대학원 중 서울 •​​​​​​​ 수도권 소재 학교가 8개, 지방권 소재 학교는 9개로 나타났다.

서울 • ​​​​​​​수도권과 지방권 대학원 모두 ‘프로그래밍 및 컴퓨팅 보안’의 교과 과정이 각각 28.1%와 28.3%로 가장 많았다[Fig.3]. 특이 사항으로는 수학 및 암호 관련 교과가 서울 • ​​​​​​​수도권보다 지방권에 2.5배 이상 많았고 보안경영 관련 교과는 서울 •​​​​​​​ 수도권이 지방권보다 약 5배 많았다. 또 사이버전 관련 교과목은 서울 • ​​​​​​​수도권에만 존재했다. 기술(공학)군이 서울․수도권과 지방권 모두 50% 이상으로 상당수를 차지하고 있었고 기술 관련 이론까지 더하면 서울 •​​​​​​​ 수도권은 57.4%, 지방권은 85.1%를 차지하고 있었다. 또한 경영 및 정책군의 교과는 서울 • ​​​​​​​수도권이 지방권보다약 3배 정도 많았다[Fig.4].

Fig.3. Analysis of the Curriculum by the location of Graduate schools

Fig.4. Pie graph of the Curriculum by the location of Graduate schools

3.3.3 대학원 정보보호 관련 학과 소속

[Table 4]는 각 대학원의 전공별 소속에 따라 분석한 결과이다. 소속이 불분명 경우⁷⁾ 대학교와 마찬가지로 수여되는 학위로 구분하였다. 2개의 인문사회계열을 제외한 대부분 학교는 공학계열 소속으로 나타났다.

Table 4. Classification According to Position of the Department of Information Security in Graduate Schools

IV. 정보보호 전문 인력의 필요 지식과의 비교

4.1 정보보호 전문 인력의 필요 지식

김태성(2010)은 정보보호 분야 전문가의 의견을 수렴하여 58개의 산업체 필요 지식을 제시하였고, 설문을 통해 산업체와 교육기관 각 그룹별로 필요정도가 높은 지식 및 기술에 대하여 순위를 나타내었다. 그 중 산업체에 대한 순위는 다음과 같다[13].

Table 5. Ranking of the Knowledge Needed in the Industry

※ 김태성(2010) 산업체 정보보호 전문 인력의 필요 지식 순위

4.2 대학 및 대학원의 교육과정 빈도 순위

대학 및 대학원의 교육과정과 현업 정보보호 전문인력에게 필요한 지식과의 차이를 알아보기 위해 12개로 분류하였던 교육과정을 김태성(2010)의 분류에 기초하여 더욱 세분화하여 상위 15개의 교육과정을 추출하였다.

Table 6. Ranking of the Curriculum in Universities

Table 7. Ranking of Curriculum in Graduate School

4.3 산업체 필요와 대학(원)의 교육과정의 순위비교

SPSS를 사용하여 비모수상관분석으로 산업체의 필요 지식과 대학 및 대학원의 교육과정을 비교하였다.

비모수상관계수로는 스피어만의 순위상관계수와 켄달의 순위상관계수를 사용하였다. 스피어만의 순위상관계수는 –1≤ r_s ≤1 이 되며, 1에 가까울수록 순위를 매기는 방식이 비슷하고, -1에 가까울수록 순위를 매기는 방식이 반대이다. 따라서 완전히 순위가 일치 할 경우 1, 완전히 순위가 반대일 때에는 –1이 된다[14]. 켄달의 순위상관계수 τ는 통계치로부터 계산되며, 이 통계치는 일련의 등위에 있어서 그 순서가 얼마나 일관성이 있는가를 나타낸다[15].

4.3.1 대학의 교육과정의 순위비교

분석결과, 대학의 교육과정 빈도와 산업의 필요 지식의 켄달의 순위상관계수는,

τ = - 0.019(p-value = 0.921)

으로 나타나며, 스피어만의 순위상관계수는,

r_s = - 0.104(p-value = 0.713)

로 산출된다.

따라서 대학의 교육과정과 산업체의 필요 지식사이에는 상관관계가 유의하지 않는 것으로 나타났다. 즉, 대학의 교육과정은 산업체에서 필요한 지식 및 기술과 차이가 있음을 알 수 있다.

Table 8. Correlation Analysis between University Curriculums and Knowledge Needed in the Industry

4.3.2 대학원의 교육과정의 순위비교

대학원의 교육과정 빈도와 산업체 필요 지식의 켄달의 순위상관계수는,

τ = - 0.096(p-value = 0.620)

으로 나타나며, 스피어만의 순위관계계수는,

r_s = - 0.127(p-value = 0.652)

로 산출된다.

따라서 대학원의 교육과정과 산업체의 필요 지식사이에도 상관관계가 유의하지 않는 것으로 나타났다. 즉, 대학원의 교육과정과 산업체에서 필요한 지식 및 기술 사이에도 차이가 존재함을 알 수 있다.

Table 9. Correlation Analysis between Graduate School Curriculums and Knowledge Needed in the Industry

V. 결과 분석 및 시사점

지금까지 분석한 내용을 통해 다음과 같은 사실을 알 수 있었다.

① 국내 대학교와 대학원 모두 정보보호 관련 학과의 교과과정이 기술(공학)군에 치중되어 있다.

② 대학교는 대학원보다 기술과 경영 관련 교과목들 사이에 편차가 더 큰 것으로 나타났다. 대학교의 기술과 경영교과의 비율은 약 14배 가까이 차이가 나지만, 대학원의 기술과 경영교과의 비율은 약 3배 정도 차이가 났다.

③ 대학교와 대학원 모두 서울 •​​​​​​​ 수도권과 지방권의 교과과정 비교에서 수학 및 암호학의 비율이 눈에 띄게 차이가 나는 것을 볼 수 있다. 대학교에서는 서울 •​​​​​​​ 수도권에서 수학 및 암호학 교육이약 1.7배 더 많이 이루어 지고 있으며, 대학원에서 는 지방권에서 약 2.7배 더 교육이 이루어지고 있었다.

④ 대학원의 경우 지역 간에 경영 및 정책 교과에서 큰 차이가 있는 것으로 나타났다. 서울 •​​​​​ ​​수도권이 지방권보다 경영 관련 교육이 많이 이루어지고 있었다.

⑤ 대학과 대학원 대부분의 학과가 공학계열에 속해 있음을 알 수 있다.

⑥ 대학 및 대학원의 교육과정이 산업체에서 정보보안 전문 인력이 필요로 하는 지식 및 기술과 차이가 있는 것으로 나타났다.

미래에 더욱 수준 높은 정보보호 전문 인력 양성을 위한 방향성 제시에 대하여 다음 세 가지의 시사점을 도출하였다.

첫째, 정보보호의 경영 및 정책과 같은 관리적 측면의 과정을 보충해야 할 것이다. 대부분의 학과들이 공학 계열에 속해 있기 때문에 기술과 관련된 교과목들로 편중되어 있다. 정보보호는 기술적 내용뿐만 아니라 관리적인 부분도 매우 중요하다는 점을 인식해야한다. 따라서 기술과 경영이 연계된 교과목을 보충하고, 이와 관련된 정책이나 법과 관련된 과정도 다루어질 필요가 있다. ISMS 인증이 의무화된 분야도 있기 때문에, 이제는 국내 정보보호 컨설팅 분야에 많은 인력 수요가 예상된다. 기술과 경영 및 정책 관련 교과목들의 적절한 균형은 앞으로의 정보보호 전문 인력들에게지대한 발전으로 이어질 것이다. 이러한 이유로 대학원뿐만 아니라 대학의 학부과정에서도 경영 및 정책과 관련한 교과목을 확충해야 할 것이다.

둘째, 기술(공학)군에서도 몇 개의 과정에 편중되지 않아야 할 것이다. 사이버 공간의 진화와 함께 다양한 방법의 공격이 발생하고 있다. 사이버 공격에 대한 대응의 중요성이 강조되면서, 국내의 정보보호 전문 인력을 양성하는 교육기관에서는 사이버 공격과 관련된 교육과정의 중요성을 인식할 필요가 있다. 현재 프로그래밍 및 컴퓨팅, 통신 •​​​​​​​ 네트워크에 편중되어 있는 교과과정을 개선하여 보안관제, 사이버전, 포렌식, 역공학 등의 관련 교과목들의 개설이 필요할 것이다.

셋째, 현업에서 실제 필요한 교과목을 확충해야 할 것이다. 상관분석을 통해 나타났듯이, 정보보안 전문인력이 실제 현장에서 필요로 하는 지식 및 기술과 대학 및 대학원의 교과목에는 큰 차이가 있었다. 정보보안 전문 인력이 필요로 하는 상위 15개의 지식 및 기술과 대학교육과정과의 비교에서는 단 3과목만이 순위 내에 있었고, 대학원 교육과정과의 비교에서는 5과목만이 순위 내에 있었다. 정보보호 인력이 현장에 투입되었을 경우 적응 시간을 줄이고 업무 몰입도를 높이기 위해서는 현장의 필요 지식과 연관성을 높인 관련 교과목에 대한 확충이 절실히 필요할 것으로 보인다.

VI. 결론

본 논문에서는 현재 운영 중인 국내 대학 및 대학원의 정보보호 관련 학과들의 교육과정을 조사하였다. 그 결과 국내 대학교와 대학원 모두 정보보호 관련 학과의 교과과정이 기술(공학)군에 치중되어 있었고, 대부분의 학과가 공학계열에 속해 있었으며, 대학교는 대학원보다 기술과 경영 관련 교과목들 사이의 편차가 더 큰 것으로 나타났다. 또한, 대학교와 대학원 모두 서울 • ​​​​​​​수도권과 지방권의 교과과정 비교에서 수학 및 암호학의 비율이 눈에 띄게 다른 것을 볼 수 있었고, 대학원의 경우 지역에 따라 경영 및 정책교과에서 큰 차이가 있었다.

그리고 학교의 교육과정이 실제 산업체의 정보보호 전문 인력이 필요로 하는 지식 및 기술과 얼마나 일치하는지 알아보기 위해 김태성(2010)의 결과와 비모수 상관분석을 실시하였다. 대학과 대학원 모두 산업체 수요 지식과 많은 차이를 보였다.

정보보호 관련 학과들이 속해있는 대학 및 대학원에서 정보보호 학과의 교육과정 설계 시 기술관련 교과뿐 아니라 경영 및 법제도, 정책 등의 교과 및 과정을 추가 • ​​​​​​​신설하는 것이 중요할 것으로 판단된다. 또한 프로그래밍 분야에 치중되어 있는 기술교과도 현실을 반영하여 다양한 분야의 교과를 추가 •​​​​​​​ 신설할 필요가 있다. 그리고 현장에서 필요로 하는 교과목을 확충 할 필요가 있을 것이다.

향후 연구에서는 기존 연구를 토대로 각 분야별 교과목 신설 및 변화 추이를 분석하고 비교 할 것이며, 대학교 및 대학원의 정보보호학과를 졸업한 전문 인력들이 수학한 교과과정의 교과별 활용도 및 만족도와 현장에서 필요로 하고 추가되어야 한다고 생각하는 교과에 대한 조사 연구도 확장해서 수행할 계획이다.

* 본 연구는 미래과학창조부 및 한국인터넷진흥원의 “고용계 약형 지식정보보안 석사과정 지원사업”의 연구결과로 수행 되었습니다. (과제번호 H2101-13-1001)